메타(Meta)의 인스타그램(Instagram)에서 AI 기반 계정 복구 시스템의 취약점을 악용한 대규모 해킹 사건이 발생했습니다. 공격자들은 이 시스템의 허점을 이용해 최소 20,225명 이상의 인스타그램 계정을 탈취했으며, 이는 연락처, 생년월일, 프로필 정보는 물론 게시물, 다이렉트 메시지(DM), 계정 활동 등 민감한 정보에 접근할 수 있는 심각한 데이터 침해로 이어졌습니다.
이번 해킹은 인스타그램의 AI 챗봇이 계정 복구 과정에서 비밀번호 재설정 요청 이메일과 실제 계정 소유자의 이메일 주소가 일치하는지 제대로 확인하지 못한 버그에서 비롯되었습니다. 특히 이중 인증(2FA)이 설정되지 않은 계정의 경우, 공격자가 임의의 이메일 주소를 제출해도 해당 주소로 비밀번호 재설정 링크가 발송되어 손쉽게 계정을 탈취할 수 있었습니다. 메타는 이 문제가 4월 17일부터 최근까지 지속되었음을 인정하고, 현재 해당 AI 챗봇 기능을 비활성화하고 취약한 코드 경로를 제거하는 등 긴급 조치를 취했습니다. 또한, 재발 방지를 위해 다른 AI 챗봇 시스템 전반에 대한 점검도 진행 중입니다.
이번 사건은 AI 기술 도입이 가속화되는 가운데, 보안 검증의 중요성을 다시 한번 일깨워주는 계기가 되었습니다. 특히 계정 복구와 같은 민감한 기능에 AI를 적용할 때는 인간의 개입 없이도 완벽한 보안 검증이 이루어지도록 설계하는 것이 필수적입니다. 메타는 이번 해킹으로 인해 기업 이미지와 사용자 신뢰도에 큰 타격을 입었으며, 앞으로 AI 기반 서비스의 보안 강화에 더욱 심혈을 기울여야 할 과제를 안게 되었습니다. 사용자들 역시 이중 인증 설정 등 개인 보안 강화에 적극적으로 나서야 할 필요성이 커졌습니다.